Aviso de seguridad de Debian

DSA-4052-1 bzr -- actualización de seguridad

Fecha del informe:
29 de nov de 2017
Paquetes afectados:
bzr
Vulnerable:
Referencias a bases de datos de seguridad:
En el sistema de seguimiento de errores de Debian: error 874429.
En el diccionario CVE de Mitre: CVE-2017-14176.
Información adicional:

Adam Collard descubrió que Bazaar, un sistema de control de versiones distribuido fácil de usar, no gestionaba correctamente URLs bzr+ssh construidas maliciosamente, lo que permitía que un atacante remoto ejecutara una orden arbitraria de intérprete de órdenes («shell»).

Para la distribución «antigua estable» (jessie), este problema se ha corregido en la versión 2.6.0+bzr6595-6+deb8u1.

Para la distribución «estable» (stretch), este problema se ha corregido en la versión 2.7.0+bzr6619-7+deb9u1.

Le recomendamos que actualice los paquetes de bzr.

Para información detallada sobre el estado de seguridad de bzr consulte su página del «security tracker» en: https://security-tracker.debian.org/tracker/bzr